«Услуги информационной безопасности как средство уменьшения непродуктивных расходов на ИТ, могут стать даже популярнее в кризисное время», — заявил Михаил Емельянников, директор по развитию бизнеса компании «Информзащита», выступая на конференции «Защищенный бизнес. Противодействие внешним и внутренним угрозам». На этой конференции представители интегратора безопасности убеждали клиентов в преимуществах сервисной модели обеспечения защиты своих ИТ-активов.
В случае применения такой модели интегратор продает не установку межсетевого экрана или какого-то иного компонента системы безопасности, а полный цикл услуг — аудит и оценку защищенности системы клиента, выбор решения для обеспечения безопасности, внедрение и настройку средства защиты и его сопровождение. Однако этим циклом внедрения продукта не ограничивается набор услуг современного интегратора безопасности. В арсенале «Информзащиты» есть услуги по обеспечению требований законодательства, изменению бизнес-процессов с учетом требований информационной безопасности, разработке корпоративной политики и многое другое.
Однако сервиcная модель имеет серьезные ограничения. В частности, клиент не всегда может понять, насколько адекватную цену он платит за построение защищенной системы, особенно если никаких продуктов при этом не покупается. Поэтому интегратору нужно сделать прозрачной свою систему ценообразования и опубликовать список предоставляемых услуг. Со своей стороны в «Информзащите» опубликовали подобный список на своем сайте, снабдив его диаграммой, которая показывает, в какой последовательности какие услуги должны выполняться.
Одной из наиболее важных услуг, входящих в набор «Информзащиты», является оценка соответствия защиты клиента требованиям регуляторов, таких как ЦБ РФ. Оценивая важность этой услуги, важно помнить, что требования стандарта защиты персональных данных в платежных системах — PCI DSS — могут распространяться и на торговые компании, которые обрабатывают платежные карты. Это относится как к обычным магазинам и торговым сетям, так и к электронным магазинам.
Стандарт требует от продавцов, которые принимают к оплате платежные карты, обеспечения полной защиты данных, полученных от клиента. При этом, если данные платежных карт будут утеряны по вине продавца, то ему в соответствии с правилами платежной системы придется выплачивать штраф самой платежной системе, возвращать деньги ее клиентам, украденные в результате этой утечки данных, а также оплачивать перевыпуск карт банками, клиенты которых пострадали от утечки. При этом общие расходы могут оказаться весьма существенными. Поэтому компаниям, которые работают с платежными картами, лучше заранее позаботиться о безопасности своей информационной системы.